접근제어 (2) 썸네일형 리스트형 제로 트러스트 아키텍처 컨테이너, 쿠버네티스 보안은 어떻게? On-premise 서버나 클라우드의 VM의 경우 Vault 라 불리는 제로 트러스트 아키텍처 솔루션에 의해 접근제어 권한 제어가 가능합니다. 하지만 도커의 컨테이너 또는 쿠버네티스 환경에서는 어떻게 접근제어를 적용할 수 있을까 라는 물음에서 시도했던 정책 한 가지 소개하려 합니다. 사실 컨테이너의 경우 IaC 로서 장애가 났거나 다른 문제점이 있을 경우 기존의 것을 내리고 새로운 컨테이너를 run 시키기 때문에 컨테이너에 어떻게 접근하고 어떻게 접근을 제어하지를 고려할 필요가 없습니다. 하지만 일부 희박하게 컨테이너 내부에 들어가서 필요한 작업이 있을수도 있다라는 생각에 컨테이너 접근제어 방안에 대해 생각하게 되었습니다. 사실 위의 아키텍처처럼 Baston(kubectl) 또는 도커의 호스트 OS 에서.. 제로 트러스트 아키텍처 On-premise 리눅스 서버 1 아무것도 믿지 말라라는 컨셉에서 시작한 ZTA(Zero Trust Archictecture) 라는게 모든 권한을 빼고 JIT(Just In Time) 필요할때만 주자 그리고 모든것을 감시하자라는 의미입니다. 그럼 On-premise 리눅스 서버를 대상으로 제로 트러스트 아키텍처 정책을 하나 소개하고자 합니다. 아키텍처에 대해 설명하자면 대상 서버들은 Vault 라는 접근제어,권한제어 솔루션을 통해서만 접근이 가능합니다. 모든 리눅스 서버의 inbound ssh port 는 Vault 가 됩니다. 이를 통해 대상 서버로 접근가능한 경로는 오직 하나뿐이게 됩니다. Vault에 로그인하기 위해서 AD 을 연동하게 됩니다. AD의 인사정보를 연동한 후 크게 3개의 그룹(외주,개발,운영) 내 속한 계정은 Vaul.. 이전 1 다음
